近日，华北1安全应急响应中心监测到Fastjson存在远程代码执行漏洞，利用该漏洞可直接获取服务器权限。

该漏洞利用门槛低，风险影响范围较大，建议使用了Fastjson的用户采取缓解措施并持续关注Fastjson的官方公告，避免被外部攻击者入侵造成损失。

漏洞名称

Fastjson <=1.2.68全版本远程代码执行漏洞

风险等级

高危

漏洞描述

Fastjson <=1.2.68全版本存在远程代码执行漏洞，可直接获取到服务器权限。漏洞成因是Fastjson autotype开关的限制可被绕过，然后链式地反序列化某些原本不能被反序列化的有安全风险的类。漏洞实际造成的危害与 gadgets 有关，gadgets中使用的类必须不在黑名单中，本漏洞无法绕过黑名单的限制。

影响版本

Fastjson <= 1.2.68

修复建议

截止公告发布，官方暂未发布新版本，您可以采取下述缓解方案进行解决。

1）关注官方更新公告，待官方更新后，升级版本到1.2.69版本；

2）升级到Fastjson 1.2.68版本，通过配置以下参数开启SafeMode来防护攻击：ParserConfig.getGlobalInstance().setSafeMode(true);

（SafeMode 会完全禁用autotype，无视白名单，请注意评估对业务影响）

3)  推荐采用Jackson-databind或者Gson等组件进行替换。

建议您在安装补丁前做好数据备份工作，避免出现意外。

参考链接

1）官方更新通告：https://github.com/alibaba/fastjson/releases

2）类似问题参考：https://github.com/FasterXML/jackson-databind/issues/2620#

北京华北1网络技术有限公司

2020/05/28